Cikk azonosítója: 821277 - Utolsó ellenőrzés: 2006. január 27. - Verziószám: 7.2

MS03-031: Biztonsági javítás az SQL Server 2000 Service Pack 3 szervizcsomagjához

A cikkben érintett termékek listájának megtekintése.
RendszertippA jelen cikk az Ön által használttól eltérő operációs rendszerre vonatkozik. A cikk azon tartalmait, amelyek nem relevánsak Önnek, letiltjuk.

A lap tartalma

Az összes kibontása | Az összes összecsukása

Összefoglaló

A Microsoft letölthető fájlok formájában teszi közzé az SQL Server 2000 alkalmazás biztonsági javításait. A biztonsági javítások összegző voltából eredően minden új kiadás tartalmazza az SQL Server 2000 rendszerhez korábban kiadott biztonsági javításokban szereplő gyorsjavításokat és biztonsági javításokat, ezért a legutolsó javítás telepítése előtt nincs szükség egy azt megelőző javítás telepítésére.

A Microsoft SQL Server 2000 legfrissebb szervizcsomagjának beszerzéséről a Microsoft Tudásbázis következő cikkében talál további információt a cikk számára kattintva:
290211  (http://support.microsoft.com/kb/290211/ ) Az SQL Server 2000 alkalmazás legújabb szervizcsomagjának beszerzése
A lap tetejére

BEVEZETÉS

A Microsoft Tudásbázis jelen cikke az SQL Server 2000 Service Pack 3 (SP3), az SQL Server 2000 Service Pack 3a (SP3a), az SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3), valamint az SQL Server 2000 Desktop Engine (MSDE) Service Pack 3a (SP3a) szervizcsomaghoz alkalmazható összes biztonsági javítást felsorolja.
A lap tetejére

Fontos tudnivalók

  • Ez az összesített javítócsomag nem tartalmazza a Microsoft Data Access Components (MDAC) és az Analysis Services összetevőkhöz kiadott biztonsági javításokat.

A biztonsági javítás a következő biztonsági résekhez nyújt megoldást:
  • Named pipe eltérítése
    Az SQL Server indításkor létrehoz egy adott named pipe-ot, amelyen azt követően a kiszolgáló bejövő kapcsolatait figyeli. A named pipe egy speciális névvel rendelkező egy- vagy kétirányú csatorna, amely egy pipe-kiszolgáló és egy vagy több pipe-ügyfél között biztosít kommunikációt. Az SQL Server a named pipe ellenőrzésével megállapítja, hogy a kapcsolatok bejelentkezhetnek-e az SQL Server programot futtató rendszerbe annak érdekében, hogy a kiszolgálón tárolt adatokon lekérdezéseket futtassanak.

    A named pipe ellenőrzési módszerében egy hiba található, amely lehetővé teheti az esetleges támadónak – ebben az esetben az SQL Server programot futtató rendszer egy helyi felhasználójának –, hogy eltérítse a named pipe-ot (vagyis átvegye felette az irányítást), amikor egy másik ügyfél egy hitelesített jelszóval bejelentkezik. Ily módon a támadó ugyanazzal az engedélyszinttel kapja meg a named pipe feletti irányítást, mint a kapcsolódni próbáló felhasználó. Amennyiben a távolról csatlakozni kívánó felhasználó a támadóénál magasabb szintű jogosultságokkal rendelkezik, a támadó a named pipe feletti vezérlés megszerzésekor szert tesz ezekre.
  • Named pipe alapú szolgáltatásmegtagadás
    A named pipe eltérítésével kapcsolatos fenti részben ismertetettekkel megegyező helyzetben a helyi intranetes hitelesítetlen felhasználók nagyon nagy méretű adatcsomagot küldhetnek annak a named pipe-nak, ahol az SQL Server szolgáltatást futtató számítógép figyelést végez, ezáltal megbénítva azt.

    A biztonsági rés nem teszi lehetővé a támadónak tetszőleges kód futtatását és magasabb szintű jogosultságok megszerzését, ám szolgáltatásmegtagadás így is felléphet, ennek következtében pedig a működés visszaállításához újra kell indítani a kiszolgálót.
  • Puffertúlcsordulás az SQL Server programban
    A Windows rendszer egyik függvényének hibája lehetővé teheti egy olyan hitelesített felhasználónak, aki az SQL Server programot futtató rendszerhez a bejelentkezést biztosító közvetlen hozzáféréssel rendelkezik, hogy egy speciálisan létrehozott adatcsomagot a rendszer helyi eljáráshívási (LPC-) portjára küldve puffertúlcsordulást okozzon. A biztonsági rés kiaknázása révén egy korlátozott engedélyekkel rendelkező felhasználó az SQL Server szolgáltatásfiókjának szintjére emelheti az engedélyeit, valamint tetszőleges kódot futtathat.
A lap tetejére

Az SQL Server jelszót kér az MS03-031: Összesített biztonsági javítás az SQL Server programhoz javítás telepítése után

Az SQL Server programhoz megjelentetett összesített biztonsági javítás telepítése után az SQL Server szokásos bejelentkezési fiókjának Enterprise Manager alkalmazással történő módosítása esetén az SQL Server jelszó beírását kéri, még akkor is, ha nem történt jelszómódosítás. A jelszó megváltoztatása nélkül a párbeszédpanelt nem lehet bezárni, függetlenül az éppen használt bejegyzéstől. A probléma megoldásához és megelőzéséhez töltse le és telepítse a Microsoft Tudásbázis következő cikkében ismertetett javítást:
826161  (http://support.microsoft.com/kb/826161/ ) Javítás: Az SQL Server valamelyik szokványos bejelentkezési fiókjának módosítását követően a jelszó megerősítését kérő párbeszédpanel jelenik meg (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A lap tetejére

További információ

Fontos megjegyzések

A javítás SQL Server 2000 SP3 szervizcsomaggal frissített számítógépekre történő telepítéséről a következő megjegyzések fontos tudnivalókat tartalmaznak:

UDDI- (Universal Description, Discovery, and Integration) szolgáltatások

Amennyiben Microsoft Windows Server 2003 rendszerű számítógépre telepíti a biztonsági javítást, és az UDDI-szolgáltatások is telepítve vannak, a körülményektől függően két lehetséges művelet egyikével újra kell indítani az UDDI-szolgáltatásokat, mert addig azok nem fognak megfelelő módon működni.
  • Ha a Windows Server 2003 rendszerű számítógépen nem fut más egyéb webes szolgáltatás, akkor az UDDI-szolgáltatásokat a Microsoft Internet Information Services (IIS) szolgáltatás újraindításával indíthatja újra. Az IIS újraindítása egyenértékű az IIS leállításával és ezt követő újraindításával, azzal a különbséggel, hogy egyetlen paranccsal hajtható végre. Az IIS újraindítása két módon lehetséges:
    • Használhatja az IIS-kezelő grafikus felhasználói felületét.
    • Alkalmazhatja az IISReset parancssori segédprogramot.
  • Ha az említett számítógépen más webes szolgáltatások is futnak, célszerű úgy eljárni, hogy azok működésére ne legyen hatással a művelet. Az UDDI-szolgáltatások újraindítása a következőképpen lehetséges:
    1. Indítsa el az IIS-kezelő segédprogramot.
    2. Keresse meg az Alkalmazáskészletek mappát, majd kattintson jobb gombbal az MSUDDIAppPool ikonra.
    3. Kattintással jelölje ki az Újrahasznosítás menüpontot. Ezzel a megoldással az UDDI-szolgáltatások a számítógépen futó egyéb webes szolgáltatások zavarása nélkül indíthatók újra.

Hibaüzenet jelenik meg, amikor named pipe-okkal csatlakozik Microsoft Windows NT 4.0 alapú számítógéphez

Ha a Microsoft SQL Server 2000 program Windows NT 4.0 rendszerű számítógépen futtatott példányához named pipe-ok használatával csatlakozik, a kapcsolatot pedig rendszergazdai jogosultságokkal nem rendelkező felhasználó hozza létre, a rendszer a következők egyikéhez hasonló hibaüzenetet jeleníthet meg:

1. üzenet
A kapcsolat nem hozható létre. Az SQL-kiszolgáló nem létezik
2. üzenet
A kapcsolat nem hozható létre. A hozzáférés megtagadva.
A probléma megoldásához szükséges gyorsjavítás beszerzéséhez tanulmányozza a Microsoft Tudásbázis következő cikkét:
823492  (http://support.microsoft.com/kb/823492/ ) A kapcsolódás meghiúsulására utaló hibaüzenet jelenik meg, ha csatlakozik egy Windows NT 4.0 alapú, SQL Server 2000 vagy SQL Server 7.0 programot futtató számítógéphez (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A lap tetejére

Letöltési információ

A következő fájl letölthető a Microsoft letöltőközpontjából:

http://www.microsoft.com/downloads/details.aspx?FamilyId=9814AE9D-BD44-40C5-ADD3-B8C99618E68D (http://www.microsoft.com/downloads/details.aspx?FamilyId=9814AE9D-BD44-40C5-ADD3-B8C99618E68D)

Kiadás dátuma: 2003. július 23.

A Microsoft terméktámogatási fájljainak letöltéséről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
119591  (http://support.microsoft.com/kb/119591/ ) Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft ellenőrizte a fájl vírusmentességét. ehhez a kiadás napján rendelkezésre álló legfrissebb vírusvédelmi szoftvert használta. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.

Előfeltételek

A biztonsági javítás csak az SQL Server 2000 Service Pack 3 (SP3) vagy a Service Pack 3a (SP3a) szervizcsomag megléte esetén telepíthető. A Microsoft az SQL Server 2000 Service Pack 3a csomag alkalmazását ajánlja.

További információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
290211   (http://support.microsoft.com/kb/290211/ ) Az SQL Server 2000 alkalmazás legújabb szervizcsomagjának beszerzése
Megjegyzés: Amennyiben még nem telepítette az MS03-031. számú Microsoft Security Bulletin cikkben ismertetett biztonsági javítást, töltse le, majd telepítse a Microsoft Tudásbázis következő cikkében szereplő fájlt:
826161  (http://support.microsoft.com/kb/826161/ ) Javítás: Az SQL Server valamelyik szokványos bejelentkezési fiókjának módosítását követően a jelszó megerősítését kérő párbeszédpanel jelenik meg (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Telepítési információk

Ez a biztonsági javítás a következő telepítési kapcsolók használatát támogatja.
A táblázat összecsukásaA táblázat kibontása
KapcsolóLeírás
cikkekLetiltja az önkicsomagolási folyamat előrehaladását jelző Self Extraction párbeszédpanelt. Csak a /a kapcsoló előtt állhat.
/aEnnek a paraméternek az összes többi előtt kell szerepelnie, kivéve a /s kapcsolót, ha a gyorsjavítást az önkibontó EXE fájllal telepíti, és meg kívánja adni a felügyelet nélküli telepítés paramétereit. Ezt a paramétert kötelező megadni a telepítő felügyelet nélküli üzemmódban való futtatásához.
/qA kapcsoló hatására a telepítőprogram csendes üzemmódban, felhasználói felület nélkül fut.
INSTANCENAMEAz SQL Server adott példányának neve. Megadása a következők szerint kell, hogy történjen:

INSTANCENAME=példánynév
BLANKSAPWDEz a paraméter azt jelzi, hogy az SQL alapú hitelesítés sa jelszava nincs megadva. Amennyiben Microsoft Windows NT vagy Microsoft Windows 2000 rendszert futtató számítógépeken mégis megadja ezt a paramétert, a rendszer felülbírálja az alapértelmezett Windows-hitelesítésre épülő bejelentkezést, és meg nem adott sa jelszóval próbál meg bejelentkezni. A paraméter helyes formátuma a következő: BLANKSAPWD=1. A paramétert csak felügyelet nélküli telepítés esetén ismeri fel a program.
SAPWDNem üres rendszergazdai jelszó. Ha megadja ezt a paramétert, használja az SAPWD=rendszergazdai_jelszó formátumot. Windows NT vagy Windows 2000 rendszerű számítógépeken a paraméter felülbírálja az alapértelmezett Windows-hitelesítést, illetve megadása esetén a BLANKSAPWD kapcsolót.
További információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
330391  (http://support.microsoft.com/kb/330391/ ) Az SQL Server gyorsjavítás-telepítője (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Újraindítási követelmény

A biztonsági javítás telepítését követően nincs szükség a számítógép újraindítására, hacsak a gyorsjavítás-telepítő ezt külön nem kéri.

Információ az eltávolításhoz

A javítás csak akkor távolítható el, ha annak telepítése előtt egyes katalógusokról biztonsági másolatot készített. További információt a Microsoft Tudásbázis következő cikkének „How to Remove or Rollback the Hotfix” (Gyorsjavítás eltávolítása vagy visszaállítása) című szakaszában olvashat:
330391  (http://support.microsoft.com/kb/330391/ ) Az SQL Server gyorsjavítás-telepítője (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Információ a biztonsági javítások lecseréléséről

A biztonsági javítás nem lép az SQL Server 2000 Service Pack 3 (SP3) szervizcsomag más biztonsági javításainak helyébe.

Fájlinformáció

A biztonsági javítás angol nyelvű verziójában található fájlok a következő táblázatban ismertetett (vagy azoknál újabb) fájlattribútumokkal rendelkeznek. A fájlok dátuma és időpontja egyezményes világidő (UTC) szerint van megadva, és a fájlinformáció megtekintése során ezen adatokat helyi időre konvertálja a program. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.
   Dátum        Idő    Verzió              Méret       Fájlnév 
   -------------------------------------------------------------------------
   2003.05.31.  18:45  2000.80.818.0      78 400 bájt  Console.exe 
   2003.06.25.  01:01  2000.80.818.0      33 340 bájt  Dbmslpcn.dll 
   2003.04.25.  02:12                    786 432 bájt  Distmdl.ldf 
   2003.04.25.  02:12                  2 359 296 bájt  Distmdl.mdf 
   2003.01.30.  01:55                        180 bájt  Drop_repl_hotfix.sql 
   2003.04.07.  19:15  2000.80.801.0   1 557 052 bájt  Dtsui.dll 
   2003.04.24.  02:51                    747 927 bájt  Instdist.sql 
   2003.05.03.  01:56                       1581 bájt  Inst_repl_hotfix.sql 
   2003.02.08.  06:40  2000.80.765.0      90 692 bájt  Msgprox.dll 
   2003.04.01.  02:07                       1873 bájt  Odsole.sql 
   2003.04.07.  07:04                       1873 bájt  Odsole.sql 
   2003.04.02.  21:48  2000.80.796.0      57 904 bájt  Osql.exe 
   2003.04.02.  23:15  2000.80.797.0     279 104 bájt  Pfutil80.dll 
   2003.04.04.  21:27                  1 083 467 bájt  Replmerg.sql 
   2003.04.04.  21:53  2000.80.798.0     221 768 bájt  Replprov.dll 
   2003.02.08.  06:40  2000.80.765.0     307 784 bájt  Replrec.dll 
   2003.05.05.  00:05                  1 085 874 bájt  Replsys.sql 
   2003.05.31.  01:01  2000.80.818.0     492 096 bájt  Semobj.dll 
   2003.05.31.  18:27  2000.80.818.0     172 032 bájt  Semobj.rll 
   2003.05.29.  00:29                    115 944 bájt  Sp3_serv_uni.sql 
   2003.06.01.  01:01  2000.80.818.0   4 215 360 bájt  Sqldmo.dll 
   2003.04.07.  17:44                     25 172 bájt  Sqldumper.exe 
   2003.03.19.  18:20  2000.80.789.0      28 672 bájt  Sqlevn70.rll 
   2003.04.24.  05:39  2000.80.811.0     176 696 bájt  Sqlmap70.dll 
   2003.02.08.  06:40  2000.80.765.0      57 920 bájt  Sqlrepss.dll 
   2003.06.01.  01:02  2000.80.818.0   7 544 916 bájt  Sqlservr.exe 
   2003.06.01.  01:02                 12 739 584 bájt  Sqlservr.pdb 
   2003.02.08.  06:40  2000.80.765.0      45 644 bájt  Sqlvdi.dll 
   2003.06.25.  01:01  2000.80.818.0      33 340 bájt  Ssmslpcn.dll 
   2003.06.01.  01:01  2000.80.818.0      82 492 bájt  Ssnetlib.dll 
   2003.06.01.  01:01  2000.80.818.0      25 148 bájt  Ssnmpn70.dll 
   2003.06.01.  01:01  2000.80.818.0     158 240 bájt  Svrnetcn.dll 
   2003.05.31.  18:59  2000.80.818.0      76 416 bájt  Svrnetcn.exe 
   2003.04.30.  23:52  2000.80.816.0      45 132 bájt  Ums.dll 
   2003.04.30.  23:52                    132 096 bájt  Ums.pdb 
   2003.02.28.  01:34  2000.80.778.0      98 872 bájt  Xpweb70.dll

Ellenőrzés

A számítógépen futó SQL Server szolgáltatás verziószámának megállapításához tanulmányozza a Microsoft Tudásbázis következő cikkét:
321185  (http://support.microsoft.com/kb/321185/ ) Az SQL Server alkalmazáshoz telepített szevizcsomag verziójának és kiadásának megállapítása (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A biztonsági javítás telepítését követően futtassa a következők egyikét:
SELECT serverproperty('productversion') 

SELECT @@Version
Az eredménynek a következőnek kell lennie:
8.00.818
A lap tetejére

Hivatkozások

A biztonsági javítással kapcsolatos további információkért olvassa el a következő Microsoft Security Bulletin cikket::
http://www.microsoft.com/technet/security/bulletin/ms03-031.mspx (http://www.microsoft.com/technet/security/bulletin/ms03-031.mspx)
További információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
824684  (http://support.microsoft.com/kb/824684/ ) A Microsoft szoftverfrissítéseinek leírásához használt szabványos terminológia bemutatása
A lap tetejére
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3a
A lap tetejére
Kulcsszavak: 
kbfix kbqfe kbsqlserv2000presp4fix atdownload KB821277
A lap tetejére
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.